Tuesday, October 17, 2006

Thoughts on Gates Security Memo

While reading Gary McGraw's great book Software Security, I had a chance to re-read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous Bill Gates security memo of January 2002. I wasn't blogging back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, so I didn't record my reaction to it. Almost five years later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpt struck me:

[E]ven more important than any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se new capabilities is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it is designed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up to deliver Trustworthy Computing. What I mean by this is that customers will always be able to rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems to be available and to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information. Trustworthy Computing is computing that is as available, reliable and secure as electricity, water services and telephony.

Today, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developed world, we do not worry about electricity and water services being available. With telephony, we rely both on its availability and its security for conducting highly confidential business transactions without worrying that information about who we call or what we say will be compromised. Computing falls well short of this, ranging from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual user who isn't willing to add a new application because it might destabilize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system, to a corporation that moves slowly to embrace e-business because today's platforms don't make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grade.
(emphasis added)

Hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone (no pun intended). "[A]vailable, reliable and secure as electricity, water services and telephony"? You mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solid electricity system that blacked out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast US in 2003? Or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two water pipes running into New York City that could be disrupted or poisoned? Or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telephone system owned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Phone Masters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s or spied upon by three letter agenices in this decade?

I propose that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main reason that electricity, water, and telephony are (wrongly) considered "secure" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fewer number of threats facing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Networked digital resources are exposed to far greater numbers of threats than analog resources like electrical power plants, water treatment facilities, and telephone closets. This is changing as all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se analog resources are being controlled by IP-enabled systems with global reachability.

This makes me wonder if digital security is being held to a higher, possibly impossible, standard. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world that could be accessed by any threat, at any time? This is not a wise-guy question -- I'd appreciate your thoughts on this. What sorts of man-made systems are relentlessly under attack by intelligent adversaries? I'm adding intelligence here to remove comparisons to diseases, weacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, earthquakes, and so on.

The first system that came to mind was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern casino. People are always trying to cheat, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat level is high. A variety of financial systems come to mind, although I'm trying to avoid systems with close ties to digital functionality. Physical security probably has a few useful lessons.

What do you think?

7 comments:

Unknown said...

It definitely helps that a certain level of physical presence is not required for so many digital attacks. I would be much more inclined to rob a store or cheat a casino when I'm only controlling a robot or doing so remotely. Similar to how people often act differently when behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 veil of anonymity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net. Some people act more like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir inner selves; ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs act with more abandon and less ethics.

I actually think digital security right now is held to an impossible standard by far too many people (or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media perpetuates this feeling). I think it was you in a past post that mentioned how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police departments are not operated in a way to stop 100% of all murders, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365fts, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r law-breaking activities.

But digital security is expected too often to stop all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. I think this is dangerous because it encourages a false sense of security, allows everyone to throws stones at events that WILL happen, and pressures IT/Mgmt/Admins to not necessarily report everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should or risk professional or even personal lashback. That approach promotes prevention, but not detection, logging, and response functions.

Anonymous said...

Gates got it mostly right with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highlighted sentence. Electricity, water, and telephony are available and reliable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA at least. Even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blackout was a fairly small blip in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big scheme of availability and reliability, in my opinion.

The security of electricity, water and telephony is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r matter. I think you're right that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y face fewer threats.

Maybe part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason is because it is difficult to produce wanted results? Those services seem easy to DoS, but it seems pretty difficult to produce more specific results that help achieve an end.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of telephony, I think it is attacked plenty but successful attacks probably aren't publicised or caught so often. How many hits will an online newspaper get for a story saying someone somewhere tapped a phone to steal some money or catch a cheating spouse? How often is that type of thing caught?

Motive is an important factor, too. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, most attacks on digital resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for money or state espionage, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of which is a great motive for attacking electricity or water providers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir are easier ways to both ends than attacking telephony.

Nate

Michael Cloppert said...

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of short-stepping my response, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to your question is in your blog (The answers are within you, Luke). Complete security is in and of itself an impossible standard to meet, regardless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset being protected. We try, and will always fail, to achieve complete digital and analog security. However, it's only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference in threat-space that creates perceived differences between digital and analog security, and makes security standards of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former seem more lofty than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter. I stipulate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two are in fact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, and equally impossible to meet.

Unknown said...

This makes me wonder if digital security is being held to a higher, possibly impossible, standard.

Perhaps by researchers confronting what it would take to actually secure something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, but in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world we have today I think we have exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite problem -- absolutely no digital security at all! Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of digital security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate world, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real Internet resides, is completely reactive, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reigning philosophy of patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 known holes.

The problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire system is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole. Security isn't a feature that can be bolted on after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact, and it's not an operating system, a programming language, or a code walkthrough. Security is a basic feature of any system, digital or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, and if it isn't designed from start to finish to counter all threats that will be employed against it, it cannot be secure.

It's not too hard to see that a system that was designed with no thought to threats is bound to fail until we replace it with a system that has security designed in. The digital systems we have today are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of a child's race car designed without brakes; somebody decided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver needs to be able to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y bolt on a lever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver can pull to drag on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground. The lever doesn't stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tips it over killing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver, but we have added a braking system now so we've met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement, right?

The logical next step is to design systems where security enhancements are a standard feature, not something cobbled on after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact. I'll welcome this step as it will show that we have at least conquered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step, thinking about security first.

Anonymous said...

> What sorts of man-made systems are relentlessly under attack by intelligent adversaries?

Easy one: war. In military science, we study and practice relentless attacks by intelligent adversaries all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

On your ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point about electricity and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r utilities being stable ... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't always so. All utilities had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir growth periods, and turmoil reined. Only after some time did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y settle down into models that hid all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexity and delivered utility grade service.

Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r digital security gets to that is an open question. Unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telephone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net product advances dramatically every year or two, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no comparison possible between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security requirements of a decade ago.

ciscoblog said...
This comment has been removed by a blog administrator.
ciscoblog said...
This comment has been removed by a blog administrator.